-
-
[旧帖] [求助]如何理bp send后[esp+xx]的内容 0.00雪花
-
发表于: 2012-4-30 22:46
-
今天看视频做个小练习
就是在OD中下BP SEND 断点 断下
然后查看堆栈信息
像图中esp+4.esp+8,esp+10这些都能理解
但是视频中说,从esp+44和esp+48的数字分别是1,2就可以得到需要跳转到esp+3c处的地址
这点我非常不理解。esp+4,esp+8这些我知道是压栈进来的参数
那么这些参数后的esp+14,esp+18等,这些数值从哪里得到的呢?
还有esp+44,esp+48为什么要和esp+3c的call联系在一起,而不是和后面的call联系在一起呢?
好混乱,一头雾水
希望有幸能得到前辈的指点,多谢啦
不好意思,又编辑了一下,图片在附件里,网上的图片都显示不出来,郁闷
就是在OD中下BP SEND 断点 断下
然后查看堆栈信息
像图中esp+4.esp+8,esp+10这些都能理解
但是视频中说,从esp+44和esp+48的数字分别是1,2就可以得到需要跳转到esp+3c处的地址
这点我非常不理解。esp+4,esp+8这些我知道是压栈进来的参数
那么这些参数后的esp+14,esp+18等,这些数值从哪里得到的呢?
还有esp+44,esp+48为什么要和esp+3c的call联系在一起,而不是和后面的call联系在一起呢?
好混乱,一头雾水
希望有幸能得到前辈的指点,多谢啦
不好意思,又编辑了一下,图片在附件里,网上的图片都显示不出来,郁闷
